Анна Теплицкая

Измените пароль в Twitter прямо сейчас

©Akuaroworld
©Akuaroworld

Главный технический директор Twitter Параг Агравал сообщил в блоге, что компания нечаянно записывала пароли пользователей в открытом виде во внутренней системе. И хотя Twitter исправила ошибку и говорит, что любой из открытых паролей не может быть каким-либо образом доступен, все равно стоит изменить свой пароль в соцсети, чтобы убедиться, что ваша учетная запись защищена.

Это плохо, и Twitter находится «под огнем», — говорит Дэвид Кеннеди, СЕО компании TrustedSec по тестированию на проникновение. — Но они предпринимают правильные шаги, просят всех изменить свой пароль и делают ошибку общедоступной вместо того, чтобы скрывать и замалчивать ее.

Соцсеть начала уведомлять как мобильных, так и настольных пользователей о том, чтобы они изменили пароли. Несколько человек сообщили об ошибках и задержках, которые, по-видимому, происходят от большого потока вносящих изменения в аккаунты (и это хорошо!).

Компании обычно защищают пароли пользователей, скремблируя их в шифровании, известном как хэширование. Как объяснил Агравал, Twitter делает так же, используя хэш-функцию, называемую bcrypt. Но ошибка заставила соцсеть случайно хранить незащищенные пароли в одном из внутренних журналов до того, как система управления паролями завершила их хэширование. Затем система завершила хэш, и все выглядит нормально, но пароли теоретически могли быть прочитаны в журнале. Хорошо, что Twitter в конечном итоге осознала ситуацию и предпринимает шаги, чтобы гарантировать, что это никогда не повторится. Однако смущает, что в важнейшей защите пользователей существовал такой фундаментальный недостаток.

Мне очень жаль, что это произошло, — написал Агравал в Twitter после публикации в блоге. — Мы делимся этой информацией, чтобы помочь людям принять взвешенное решение об их безопасности в аккаунте. Мы не обязаны делать это, но считаем, что поступаем правильно.

Это правда, что Twitter могла просто реализовать исправления и надеяться на лучшее, но пользователи заслуживают того, чтобы знать, были ли открыты их пароли, особенно потому, что всегда возможно, что данные были неправильно обработаны. И компания пошла еще дальше в раскрытии информации.

Мы просим вас рассмотреть возможность изменения пароля для всех служб, в которых вы использовали этот пароль, — пишет Агравал.

Вместо того, чтобы сделать это необязательным, Twitter просит всех пользователей изменить свои пароли, чтобы гарантировать их безопасность.

Чтобы сделать это в своей учетной записи, перейдите в «Настройки»/ «Конфиденциальность»/«Пароль». Введите текущий пароль, а затем выберите новый. И если вы использовали свой старый пароль Twitter для любых других учетных записей, его также стоит изменить.

Настройте двухфакторную аутентификацию для Twitter, если у вас ее нет. Перейдите в «Настройки и конфиденциальность»/«Аккаунт». В подразделе «Безопасность» нажмите «Проверка при входе». После ввода недавно измененного пароля, чтобы подтвердить, что вы хотите внести изменения, система оставит вас на экране проверки входа. Здесь вы можете настроить получение кода второго фактора через SMS или, предпочтительно, с помощью приложения для создания кода, такого как Google Authenticator или Authy. Проблема Twitter, объявленная сегодня, — это именно та ситуация, при которой двухфактор полезен, — даже если ваш пароль Twitter скомпрометирован, пока был раскрыт во внутреннем журнале, двухфакторный режим не позволит использовать эту информацию для доступа к вашему аккаунту.

Twitter отказалась комментировать, как долго были открыты пароли, но она действовала добросовестно, чтобы решить этот вопрос. Для платформы с 336 млн пользователей это довольно серьезная проблема.